12 ответов в этой теме

[uBar.pro]

Здравствуйте.

Я являюсь руководителем проекта uBar.pro (http://ubar.pro) - бесплатный менеджер загрузок и торрент-клиент.
Сложилась такая ситуация, что DrWeb детектит наш софт как явный вредонос с меткой Adware, что на мой взгляд является ошибочным. При этом, естественно, инсталяторы и дистрибутивы программы удаляются без альтернативных вариантов для пользователя, доменные имена ссылающиеся на нашу программу (включая официальный сайт) блокируются вашим АВ.

Поясню ситуацию, почему на мой взгляд именно такой детект является не корректным:

Из вашего классификатора вирусов:

Adware
Программное обеспечение, демонстрирующее рекламу на компьютере пользователя без его согласия.
Примеры: Adware.Adshot, Adware.GameVance.11

Однако, наш софт никогда не занимался внедрением рекламы, установкой доп. ПО без ведома/согласия пользователя или без возможности отказа. Единственная реклама которая присутствует в софте (другого типа никогда не было, ни в одной версии) - это предложение установки дополнительного ПО, только от самых крупных и проверенных производителей (устанавливаемое ПО проверяли, там 100% чистые результаты). Всё ПО предлагается в инсталяторе, уже после установки uBar, с галочками, отдельным оформленным оффер-скрином (т.е. под оффера выделен отдельный шаг инсталятора), с полным описанием что предлагается к установке, текстовым описанием возможностей предлагаемого ПО, всеми ссылками на соглашения и политику конфиденциальности, скриншотами. Такое предложение об установке доп. ПО невозможно не заметить.
На сколько я знаю, данный вид монетизации бесплатного софта применяют повсеместно и он не является запрещенным? (включая самые крупные бесплатные антивирусы или, например, AdobeFlashPlayer), причём их "информирование" пользователя об установке доп. ПО, на мой взгляд, в разы менее очевидное, в сравнении с нашим.

Я понимаю и осознаю, что любой софт являющийся менеджером загрузок (исключая производителей-гигантов) является потенциально опасным, так как имеет доступ к управлению/загрузкам файлами пользователя, и многие антивирусы перестраховываются, помечая такое ПО как PUP (PUA), оставляя выбор запускать или нет пользователю. Однако, метка Adware - это явный вредонос и он удаляется АВ без альтернативы.
В данный момент нашим софтом пользуется порядка 400 000  пользователей ежедневно и количество запросов в тех. поддержку об удалении нашего софта после установки вашего АВ значительно выросло (пользователи теряют библиотеки своих файлов, сформированные в рамкам uBar.pro).

Просьба пересмотреть решение по детекту, либо дать какие-то комментарии, если вы действительно считаете детект не ошибочным.
Запросы через форму "Ложное срабатывание" результатов не дают, ответ всегда автоматический "Это не ложное срабатывание", получить какие-либо комментарии там не удаётся.
Есть вероятность, что вирусные аналитики могут путать наш софт с вредоносным браузерным расширением с похожим названием "Video & Audio plugin Ubar", которое действительно является Адварой и нас периодически с ними путают, но ничего общего с данным вредоносом, кроме одного слова в названии, мы не имеем (расширений у нас нет, только самостоятельное ПО).

Спасибо.

[provayder]

А зачем рассадник адвари у себя на ПК размещать. Кстати не одни мы так считаем https://www.virustotal.com/#/file/474711b712a378b09a0038f05eef2a520ffd6952750e730107e6b2c335ca5a7f/detection 

[Konstantin Yudin]

Именной детект просто так не даётся.

[uBar.pro]

А зачем рассадник адвари у себя на ПК размещать. Кстати не одни мы так считаем https://www.virustotal.com/#/file/474711b712a378b09a0038f05eef2a520ffd6952750e730107e6b2c335ca5a7f/detection 

Вы, практически единственные, кто его не сменил на другой после обращений в службу поддержки через форму, поэтому приходится писать на форуме и пробовать выяснить причину. О каком рассаднике Adware идет речь? Вся "реклама" из софта подробно описана в первом посте, поэтому и возник вопрос, как это может хотя бы примерно соответствовать определению Adware из описания типов вирусов на сайте DrWeb, а также общепринятым определениям АВ?
 

 

Именной детект просто так не даётся.

Да, но он может быть дан и ошибочно? Как можно его пересмотреть? В чем соответствие нашего софта Adware?

[SergSG]

В чем соответствие нашего софта Adware?

Сама софтина может и потянула бы на потенциально опасную. Но! У вас весь изюм упакован в сетап - вот как АВ должен их различать? И где гарантия, что этот изюм не попадет ко мне без моего согласия - поверить вам наслово? Сегодня может это и так, а завтра вы "по ошибке" какой нибудь чекбокс не описали и... Да и потом, если изюм уже доставлен на машину, остальное дело техники. Вот я бы не рискнул такое ставить и совсем не возражаю против вердикта Доктора.

Сообщение было изменено SergSG: 15 Февраль 2018 - 19:11

[uBar.pro]

 

В чем соответствие нашего софта Adware?

Сама софтина может и потянула бы на потенциально опасную. Но! У вас весь изюм упакован в сетап - вот как АВ должен их различать? И где гарантия, что этот изюм не попадет ко мне без моего согласия - поверить вам наслово? Сегодня может это и так, а завтра вы "по ошибке" какой нибудь чекбокс не описали и... Да и потом, если изюм уже доставлен на машину, остальное дело техники. Вот я бы не рискнул такое ставить и совсем не возражаю против вердикта Доктора.

 

Чтобы "АВ мог различить Адвару от неадвары" и существует у всех крупных АВ отдел аналитики ложных срабатываний, в котором вызывающие сомнения детекты могут быть пересмотрены, и по работе/анализу софта делаются выводы о том добросовестная это реклама или нет. 
Что касается "по ошибке чекбокс не описали", где гарантии что другой производитель софта, например какой-нибудь юТоррент, не включит майнер в следующую сборку? А ведь он это делал, и тихо, однако он в белых списках того же DrWeb и за майнер его никто не наказывает (ибо пользователь быстрее откажется от DrWeb, нежели от юТоррента, не так ли?). По такой логике вообще любой софт устанавливающийся в систему является потенциально опасным и его можно называть Адварой. А гарантию может дать добавление в белые списки АВ хеша инсталятора, как делают многие крупные АВ, которые не уверены в производителе чтобы добавить его в белые списки по цифровой подписи. Но, на сколько я вижу, DrWeb наоборот, уверен что наш софт это Адвара на 100%, раз выдал именно детект по цифровой (кстати, EV) подписи. Жаль что от аналитиков нет конструктива по этому вопросу

[Ivan Korolev]

Что касается "по ошибке чекбокс не описали", где гарантии что другой производитель софта, например какой-нибудь юТоррент, не включит майнер в следующую сборку? А ведь он это делал, и тихо, однако он в белых списках того же DrWeb и за майнер его никто не наказывает (ибо пользователь быстрее откажется от DrWeb, нежели от юТоррента, не так ли?).

 

Может за свои деяния отвечать лучше будете? Тем более, что вы совсем не в теме. Когда у uTorrent был адварный модуль в установщике, он детектировался точно также, как и установщик любого другого софта с таким модулем. 

[uBar.pro]

 

Что касается "по ошибке чекбокс не описали", где гарантии что другой производитель софта, например какой-нибудь юТоррент, не включит майнер в следующую сборку? А ведь он это делал, и тихо, однако он в белых списках того же DrWeb и за майнер его никто не наказывает (ибо пользователь быстрее откажется от DrWeb, нежели от юТоррента, не так ли?).

 

Может за свои деяния отвечать лучше будете? Тем более, что вы совсем не в теме. Когда у uTorrent был адварный модуль в установщике, он детектировался точно также, как и установщик любого другого софта с таким модулем. 

 

Дак в этом и вопрос, какие деяния, за которые выдаётся метка адвары по критериям DrWeb'a? В первом посте я привёл выдержку с вашего официального сайта и данным критериям адвары наш софт не соответствует, видимо есть другие, о которых я и пытаюсь узнать.
П.С. Юторрент и прочий бесплатный софт точно также предлагают "по галочке" установить доп. ПО, точно такое же как у нас (от крупных общеизвестных брендов, не mail.ru), и делают это менее заметно и очевидно для пользователя.
Поймите, я же не пытаюсь строить дурачка, делая вид что у нас всё хорошо когда это не так. Я действительно хочу выяснить почему Адвара, за какие заслуги и как это исправить?

[SergSG]

Чтобы "АВ мог различить Адвару от неадвары" и существует у всех крупных АВ отдел аналитики ложных срабатываний, в котором вызывающие сомнения детекты могут быть пересмотрены, и по работе/анализу софта делаются выводы о том добросовестная это реклама или нет. 

А чего там отличать? У вас ее полный сетап. Ну, а добросовестная адварь или нет - это как "миротворческие бомбардировки" и агрессивные. Словоблудие.

Мю-Торрент тоже блочили, по ходу. Если софтина такая уж ценная и изюм не смущает, пользователь поставит ее в исключения и будет юзать.

[cheater84]

П.С. Юторрент и прочий бесплатный софт точно также предлагают "по галочке" установить доп. ПО, точно такое же как у нас

 

Скорее всего они при этой галочке этот они доп. софт докачивают из интернета, и если он в базах Drweb, то в этот момент он и блокируется(доп софт).

А сам инсталлятор того же юторрента чист.

У вас же доп софт (на который есть детект drweb) входит непосредственно в инсталлятор.

[uBar.pro]

 

П.С. Юторрент и прочий бесплатный софт точно также предлагают "по галочке" установить доп. ПО, точно такое же как у нас

 

Скорее всего они при этой галочке этот они доп. софт докачивают из интернета, и если он в базах Drweb, то в этот момент он и блокируется(доп софт).

А сам инсталлятор того же юторрента чист.

У вас же доп софт (на который есть детект drweb) входит непосредственно в инсталлятор.

 

Предположение интересное, но не соответствует правде.
1. DrWEB метит не только инсталятор, но и наш апдейтер (где нет ничего из стороннего), и сам файл программы ubar.exe, где также нет ни одного намёка на рекламу, и даже анинсталлер. Метка выдана по подписи, судя по всему.
2. Единственный "даунлоадер" который вшит в инсталятор, это ПАК от нашего топового РФ поисковика (браузер и расширение для браузеров). Этот даунлоадер, конечно же, в белом списке DrWeb, ибо его производитель, сами знаете кто, хотя кроме него, "адварой" у нас назвать нечего.
Далее, не  было ни одной "ошибки" в версии (как, например, заявляли про себя Медиагет), чтобы мы когда-то в своей истории работы "забывали" отключить установку по галочке, ибо это прямое нарушение договоров с рекламодателями, штрафы и расторжение.

Собственно, вопрос сохраняется, за какие заслуги наш софт приписывается к Адваре, при этом вопреки определению этой самой Адвары на официальном сайте DrWEB? Что нужно менять в софте/его работе, чтобы пересмотреть детект?
Я вижу, что вирусные аналитики читают и отвечают в этом топике, но без капли конструктива. Ведь, не так сложно озвучить ответы на мои вопросы? Чем плох инсталятор uBar, и чем он отличается от инсталятора того же Utorrent? Я, действительно, пока не могу понять логику.

Сообщение было изменено uBar.pro: 17 Февраль 2018 - 20:33

[SergSG]

Не нашел ни на вашем сайте, ни в соглашении ни одного упоминания о зашитых "бонусах". Сюрпризом будут? Но это объясняет почему ваш сайт блокируется.

Я понимаю, бизнес. Но, чтобы посмотреть что вы реально на сегодня предлагаете к установке, нужно скачать и запустить?

[uBar.pro]

Не нашел ни на вашем сайте, ни в соглашении ни одного упоминания о зашитых "бонусах". Сюрпризом будут? Но это объясняет почему ваш сайт блокируется.

Я понимаю, бизнес. Но, чтобы посмотреть что вы реально на сегодня предлагаете к установке, нужно скачать и запустить?

Что такое "зашитые бонусы", не совсем понимаю?
В самом инсталяторе нет ничего, что не отображено в соглашении, и тем более ничего связанного с адварой (только то, что необходимо для работы софта с технической точки зрения). Далее, уже после установки софта, отдельным большим оффер-скрином (на весь экран инсталятора) пользователю предлагается к установке ПО от рекламодателя (выше написано какого и что). Там указывается скриншот софта рекламодателя, текстовое описание с названием, отдельно галочка согласия напротив названия софта, и две ссылки: пользовательское и политика софта рекламодателя, где описано всё, что будет установлено и как будет работать, подробно.
В этом окне-офферскрине можно либо снять галочку, либо просто его закрыть, на работу нашего софта и его установку это никак не влияет, ибо наш софт уже установлен (о чём дополнительно сообщается пользователю на этом же окне в фразе "uBar успешно установлен и готов к работе").
Далее, если пользователь оставляет галочку и соглашается на установку доп. ПО, то загрузка инсталятора рекламодателя начинается ПОСЛЕ этого, с сайта рекламодателя и т.д., т.е. мы уже никак не связаны с этим и наш инсталятор завершил свою работу. Повторюсь, на ПО рекламодателей ни одного детекта DrWeb, да и других АВ нет (это понятно, софт от производителя-гиганта, хотя и "рекламного" в нём примерно в 1000 раз больше чем в нашем).
Что может быть прозрачнее и понятнее для пользователя? Я понимаю, что реклама по "по галочке", вероятно, не самый полезный вид рекламы, но в данном конкретном случае речь идёт о детекте DrWEB, который такую рекламу явно не запрещает, если она добросовестная.